GDPR och underbiträden

EU:s dataskyddsförordning (GDPR) och personuppgiftsbiträden

Den 25 maj 2018 ersatte EU:s dataskyddsförordning tidigare gällande personuppgiftslag, PuL.

Personuppgiftsbiträde

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Som personuppgiftsansvarig krävs att universitetet har avtal (personuppgiftsbiträdesavtal) med varje organisation (personuppgiftsbiträdet) som behandlar personuppgifter som universitetet ansvarar för. Personuppgiftbiträdesavtal som ingicks före den 25 maj 2018 behöver omförhandlas för vara i linje med dataskyddsförordningens krav på sådana avtal.

Avtal

Juridiska avdelningen har tagit fram en avtalsmall Word, 51 kB. (mars 2024) för personuppgiftsbiträdesavtal. Enligt beslut av universitetsdirektören (UFV 2018/1736) ska mallen användas när universitetet är personuppgiftsansvarig och avvikelser från mallen granskas av juridiska avdelningen innan avtalet ingås. Avvikelser av principiell betydelse hänskjuts till universitetsdirektören för särskilt godkännande.

Observera att mallen gäller för biträden som själva omfattas av dataskyddsförordningen (befinner sig inom EU). Kontakta juridiska avdelningen för avtal med biträden som inte omfattas av dataskyddsförordningen.

Brexit

Storbritanniens utträde ur EU, det s.k. Brexit, EU-kommissionen beslutade 2021-06-28 om att Storbritannien uppfyller sk. adekvat skyddsnivå för personuppgifter. Det innebär bl.a. att personuppgifter kan överföras mellan EU-länder och Storbritannien utan särskilt tillstånd.